none
GPO para un grupo y quitar permisos de instalación RRS feed

  • Pregunta

  • Hola buenas tardes.

    Quería preguntar introducir una GPO para un grupo de usuarios y como hacerlo.

    También quería preguntar una forma rápida, de dar permisos de instalacíon a usuarios, es decir, actualmente, el grupo de usuarios más bajo no tienen permisos para instalar. Mi pregunta es, que debo hacer para, en caso de que sea necesario, si tienen que instalar cualquier cosa no esten pidiendo continuamente al administrador del dominio usuario y contraseña, sino que el administrador del dominio de permisos a ese usuario a instalar aplicaciones durante un tiempo.

    También, si fuera posible, alguna manera en la cual, si un usuario necesita la ayuda del administrador del dominio o administrador de sistemas, que este pueda conectarse a su ordenador desde su puesto, por medio de Terminal Server, sin quitar la sesion al usuario, y que ambos usuarios puedan iteractuar a la vez sobre la misma sesion de usuario.

    Por último pregunar, si los cambios que se hacen sobre las GPO, para que afecte a los usuarios tienen que reiniciar las máquinas o con gpupdate, te actualiza las GPO.

    Gracias y un saludo

    martes, 27 de abril de 2010 15:28

Respuestas

  • La primera parte no sé si te refieres a que por GPO quieres que un grupo del AD pertenezca a un grupo de la máquina, o si sólo quieres aplicar la GPO a un grupo de usaurios específicos.

    En el primer caso, puedes usar los grupos restringidos por ejemplo, o algún script de la TechNet Scrpit center que lo haga

    http://support.microsoft.com/default.aspx/kb/279301?p=1

    How To Force Adding Of Domain Admin Group to Local Admin Group

    http://support.microsoft.com/default.aspx?scid=kb;en-us;555026

    Para lo segundo, una de dos, te creas una OU y pones ahí a los usaurios/equipos que necesitas y aplicar la GPO que quieras; o bien, creas la GPO, la aplicas a la OU que sea y para que sólo se aplique a ciertos usaurios, editas sus propiedades en la GPMC, pestaña de Delegation, y ahí con el bootón de Advanced en la parte de abajo editas los permisos.

    http://technet.microsoft.com/en-us/windowsserver/bb310732.aspx

    Filtering the Scope of a GPO

    http://msdn.microsoft.com/en-us/library/aa373513(VS.85).aspx

     

    How to Implement Group Policy Security Filtering

    http://www.windowsnetworking.com/articles_tutorials/Group-Policy-Security-Filtering.html

    Para la instalación de Aplicaciones, si estas tienen que escribir/poner ramas de registro o en carpetas del sistema que requieren permisos, o el usaurio es administrador local (que no de dominio) o no hay otra posibilidad (a menos que distribuyas tú la aplicación por GPO mediante un MSI o lo publiques por ejemplo; o si usas 2008R2 usas los servicios de TS apra RemoteApp por ejemplo también).

    Ten en cuenta que esto es por seguridad, si un usaurio es administrador local, puede instalar/desinstalar todo lo que quiera a parte de hacer todo lo que quiera en su equipo (y si puede hacer eso, seguro que si se mete cualquier virus/malware/spyware/etc... tendrá esos privilegios para hacer y deshacer lo que se quiera).

     

     


    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    martes, 27 de abril de 2010 15:48
  • Hola titan_1,

    Como información adicional a lo comentado por Javier, te pongo un par de métodos.

    Método 1:

    1. Abre el Editor de directivas de grupo para el dominio o para la máquina local (gpedit.msc).
      1. Expande Plantillas administrativas bajo Configuración de usuario .
      2. Haz clic en Sistema.
    2. En el panel izquierdo, haz doble clic en No ejecutar aplicaciones Windows especificadas .
    3. Haz clic en Habilitada , y a continuación haz clic en el botón Mostrar… (junto a la lista de aplicaciones no reconocidas).
    4. Mostrar contenidos de la ventana, haz clic en el botón “Agregar…
    5. Escribe el nombre ejecutable que deseas bloquear. Por ejemplo los ejecutables setup.exe, install.exe, instalar.exe .
    6. Agrega tantas aplicaciones como desees bloquear!
    7. Acepta los cambios y todas esas aplicaciones quedarán bloqueadas!.

    Método 2: (No valido para instaladores .exe)
    1. Configuración de equipo > Plantillas administrativas > Componentes de Windows > Windows Installer
    2. Habilita "Prohibir instalaciones de usuario" .

     

    Un saludo,

    Dani Alonso


    Dani Alonso [Microsoft Active Professional]
    Web: http://www.win2k8.com
    Blog: http://www.win2k8.com/blog

    "Ayudar a los demás es ayudarse a sí mismo".... CISSP, CCNA, MCSE & MOUS
    Especializado en Seguridad Informática y Sistemas Operativos para Servidores
    miércoles, 28 de abril de 2010 8:51
    Moderador
  • Creo recordar que la GPO de Windows Installer no funciona con los .EXE, sólo MSI o MSU.

    A parte, si el usuario tiene permisos de administrador local, siempre podrá acceder con una cuenta local del equipo, y hacer la instalación si así lo desea (de ahí recalcar que mientras sea administrador local, todo podrá ser posible :-(

    Igualmente, si se usa la lista de aplicaciones que no se pueden ejecutar, con renombrar el .exe ya podría usarla igualmente, se recomienda siempre que sea viable el uso de las Software Restriction Policies:

    http://technet.microsoft.com/en-us/library/bb457006.aspx


    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    miércoles, 28 de abril de 2010 9:10
  • Sí, sí, Windows Installer no es aplicable para .exe.

    Yo he compartido 2 métodos, no precisamente deben ser aplicados si no se adapta a sus necesidades. :) Está claro, que  permisos de administrador sólo deben tenerlo los administradores, y aplicando estas políticas tanto en local como en AD, todos los no administradores no les quedará otra que limitarse a cumplirlas!

     

    Un saludo!


    Dani Alonso [Microsoft Active Professional]
    Web: http://www.win2k8.com
    Blog: http://www.win2k8.com/blog

    "Ayudar a los demás es ayudarse a sí mismo".... CISSP, CCNA, MCSE & MOUS
    Especializado en Seguridad Informática y Sistemas Operativos para Servidores
    miércoles, 28 de abril de 2010 9:51
    Moderador
  • titan_1 evalua hacer la instalación de las aplicaciones usando GPOs, usando pubicación de las aplicaciones aprobadas por usuario.

    De esa forma, un usuario normal va a poder instalar él sólo, y únicamente las aplicaciones que tu le publiques.

    Abre un nuevo hilo por la otra pregunta, por favor, así no se mezclan temas

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    miércoles, 28 de abril de 2010 15:54
    Moderador
  • Por motivos de seguridad, deberías crear un usuario en tu dominio llamado por ejemplo "instalador", que posee los privilegios justos como para realizar instalaciones. Así lo tengo yo, y me dá cierta tranquilidad... Aunque por supuesto, la contraseña de "instalador" sólo deben tenerla los administradores de sistemas!

    La solución que aporta Guillermo creo que también puede venirte muy bien.

     

     


    Dani Alonso [Microsoft Active Professional]
    Web: http://www.win2k8.com
    Blog: http://www.win2k8.com/blog

    "Ayudar a los demás es ayudarse a sí mismo".... CISSP, CCNA, MCSE & MOUS
    Especializado en Seguridad Informática y Sistemas Operativos para Servidores
    jueves, 29 de abril de 2010 6:09
    Moderador

Todas las respuestas

  • La primera parte no sé si te refieres a que por GPO quieres que un grupo del AD pertenezca a un grupo de la máquina, o si sólo quieres aplicar la GPO a un grupo de usaurios específicos.

    En el primer caso, puedes usar los grupos restringidos por ejemplo, o algún script de la TechNet Scrpit center que lo haga

    http://support.microsoft.com/default.aspx/kb/279301?p=1

    How To Force Adding Of Domain Admin Group to Local Admin Group

    http://support.microsoft.com/default.aspx?scid=kb;en-us;555026

    Para lo segundo, una de dos, te creas una OU y pones ahí a los usaurios/equipos que necesitas y aplicar la GPO que quieras; o bien, creas la GPO, la aplicas a la OU que sea y para que sólo se aplique a ciertos usaurios, editas sus propiedades en la GPMC, pestaña de Delegation, y ahí con el bootón de Advanced en la parte de abajo editas los permisos.

    http://technet.microsoft.com/en-us/windowsserver/bb310732.aspx

    Filtering the Scope of a GPO

    http://msdn.microsoft.com/en-us/library/aa373513(VS.85).aspx

     

    How to Implement Group Policy Security Filtering

    http://www.windowsnetworking.com/articles_tutorials/Group-Policy-Security-Filtering.html

    Para la instalación de Aplicaciones, si estas tienen que escribir/poner ramas de registro o en carpetas del sistema que requieren permisos, o el usaurio es administrador local (que no de dominio) o no hay otra posibilidad (a menos que distribuyas tú la aplicación por GPO mediante un MSI o lo publiques por ejemplo; o si usas 2008R2 usas los servicios de TS apra RemoteApp por ejemplo también).

    Ten en cuenta que esto es por seguridad, si un usaurio es administrador local, puede instalar/desinstalar todo lo que quiera a parte de hacer todo lo que quiera en su equipo (y si puede hacer eso, seguro que si se mete cualquier virus/malware/spyware/etc... tendrá esos privilegios para hacer y deshacer lo que se quiera).

     

     


    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    martes, 27 de abril de 2010 15:48
  • Hola titan_1,

    Como información adicional a lo comentado por Javier, te pongo un par de métodos.

    Método 1:

    1. Abre el Editor de directivas de grupo para el dominio o para la máquina local (gpedit.msc).
      1. Expande Plantillas administrativas bajo Configuración de usuario .
      2. Haz clic en Sistema.
    2. En el panel izquierdo, haz doble clic en No ejecutar aplicaciones Windows especificadas .
    3. Haz clic en Habilitada , y a continuación haz clic en el botón Mostrar… (junto a la lista de aplicaciones no reconocidas).
    4. Mostrar contenidos de la ventana, haz clic en el botón “Agregar…
    5. Escribe el nombre ejecutable que deseas bloquear. Por ejemplo los ejecutables setup.exe, install.exe, instalar.exe .
    6. Agrega tantas aplicaciones como desees bloquear!
    7. Acepta los cambios y todas esas aplicaciones quedarán bloqueadas!.

    Método 2: (No valido para instaladores .exe)
    1. Configuración de equipo > Plantillas administrativas > Componentes de Windows > Windows Installer
    2. Habilita "Prohibir instalaciones de usuario" .

     

    Un saludo,

    Dani Alonso


    Dani Alonso [Microsoft Active Professional]
    Web: http://www.win2k8.com
    Blog: http://www.win2k8.com/blog

    "Ayudar a los demás es ayudarse a sí mismo".... CISSP, CCNA, MCSE & MOUS
    Especializado en Seguridad Informática y Sistemas Operativos para Servidores
    miércoles, 28 de abril de 2010 8:51
    Moderador
  • Creo recordar que la GPO de Windows Installer no funciona con los .EXE, sólo MSI o MSU.

    A parte, si el usuario tiene permisos de administrador local, siempre podrá acceder con una cuenta local del equipo, y hacer la instalación si así lo desea (de ahí recalcar que mientras sea administrador local, todo podrá ser posible :-(

    Igualmente, si se usa la lista de aplicaciones que no se pueden ejecutar, con renombrar el .exe ya podría usarla igualmente, se recomienda siempre que sea viable el uso de las Software Restriction Policies:

    http://technet.microsoft.com/en-us/library/bb457006.aspx


    -------- Salu2!! Javier Inglés https://mvp.support.microsoft.com/profile=540CC20A-D91F-4E7B-A209-2CB5567431B0 MS MVP, Windows Server-Directory Services. Microsoft Active Professional 2010
    miércoles, 28 de abril de 2010 9:10
  • Sí, sí, Windows Installer no es aplicable para .exe.

    Yo he compartido 2 métodos, no precisamente deben ser aplicados si no se adapta a sus necesidades. :) Está claro, que  permisos de administrador sólo deben tenerlo los administradores, y aplicando estas políticas tanto en local como en AD, todos los no administradores no les quedará otra que limitarse a cumplirlas!

     

    Un saludo!


    Dani Alonso [Microsoft Active Professional]
    Web: http://www.win2k8.com
    Blog: http://www.win2k8.com/blog

    "Ayudar a los demás es ayudarse a sí mismo".... CISSP, CCNA, MCSE & MOUS
    Especializado en Seguridad Informática y Sistemas Operativos para Servidores
    miércoles, 28 de abril de 2010 9:51
    Moderador
  • Gracias por las respuestas Javier y Dani.

    Actualmente los usuarios del perfil bajo no pueden instalar nada. El problema radica que cuando realmente necesitan instalar algo, están continuamente pidiendo al usuario encargado, que ponga el nombre de usuario y contraseña del administrador del dominio. Entonces lo que necesito es, que si un usuario tiene que instalar una aplicación, que se necesita instalar, porque se haya permitido, no tenga que pedir es el usuario y la contraseña del administrador, sino que tan solo con cambiar la GPO de ese grupo, o añadir una GPO para ese usuario, y le permita instalar. Cuando termine de instalar se volvería a poner tal y como está ahora. El problema radica en que nose que parámetros tocar de la GPO, y tampoco se si estos cambios se efectuan inmediatamente, ¿o tiene que reinicar el ordenador el usuario? 

    También si me podeis a ayudar, que hay que tocar para que el usuario administrador pueda entrar por Terminal Server a los PC de los usuarios, y interactuar sobre la misma sesión.

    Gracias y un saludo

    miércoles, 28 de abril de 2010 15:49
  • titan_1 evalua hacer la instalación de las aplicaciones usando GPOs, usando pubicación de las aplicaciones aprobadas por usuario.

    De esa forma, un usuario normal va a poder instalar él sólo, y únicamente las aplicaciones que tu le publiques.

    Abre un nuevo hilo por la otra pregunta, por favor, así no se mezclan temas

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    miércoles, 28 de abril de 2010 15:54
    Moderador
  • Por motivos de seguridad, deberías crear un usuario en tu dominio llamado por ejemplo "instalador", que posee los privilegios justos como para realizar instalaciones. Así lo tengo yo, y me dá cierta tranquilidad... Aunque por supuesto, la contraseña de "instalador" sólo deben tenerla los administradores de sistemas!

    La solución que aporta Guillermo creo que también puede venirte muy bien.

     

     


    Dani Alonso [Microsoft Active Professional]
    Web: http://www.win2k8.com
    Blog: http://www.win2k8.com/blog

    "Ayudar a los demás es ayudarse a sí mismo".... CISSP, CCNA, MCSE & MOUS
    Especializado en Seguridad Informática y Sistemas Operativos para Servidores
    jueves, 29 de abril de 2010 6:09
    Moderador
  • hola que tal..

    tambien puede ser factible que la gpo que te impide instalar cosas este asignada a un grupo de usuarios (todos los usuarios del dominio) y cuando alguien necesite instalar algo, solamente sacar dicho user del grupo y le solicitas que haga un gpupdate /force sin reiniciar. Si dicha politica aun no se actualiza reinicia el equipo.

    Una ves que termine de instalar vuelves a colocar el usuario en el grupo restringuido

     

    saludos

    miércoles, 9 de junio de 2010 20:06
  • Hola Palote, no existe la GPO que impida a los usuarios instalar. Simplemente un "usuario normal" no puede instalar aplicaciones.

    Lo único que puede hacer, es si fuera una aplicación que sólo escribe dentro de su perfil o carpeta, pero nada más.

     


    Guillermo Delprato - MVP-MCT-MCSE-MCSA MCITP: Enterprise/Server Administrator MCTS: Active Directory/Network/Applications Configuration --- Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos. --- Buenos Aires, Argentina
    miércoles, 9 de junio de 2010 20:48
    Moderador